看看你的密码有多容易破解

  电脑密码需易记又安全,但大部分人的密码只是易记,并不安全。研究者们正在寻找一举两得的办法。

  看看你的密码有多容易破解

  密码是电脑安全防护中极普遍且不可或缺的一部分,但它们却常常起不到保护作用。好的密码必须容易记又不易被破解,可人们在设置密码时似乎更侧重容易记,而非不易破解。

  另一半和孩子的名字被广泛当成密码。还有些人把密码设置得极为简单,如《经济学家》杂志一位前副主编多年来一直用“Z”这一个字母做密码。曾经有黑客从一个叫“RockYou”的社交游戏网站偷盗了3200万个密码,结果发现,这个网站1.1%的用户(36.5万人)使用的密码都是“123456”或“12345”。

  根据密码设置的可预见性,电脑安全研究者(以及黑客)编制了常用密码辞典,这给那些试图破解密码的人提供了方便。但是,即便研究者知道密码是不安全的,也很难弄清楚不安全的程度到底有多高。因为很多研究使用的样本量太小,最多也就是几千个密码。像“RockYou”这样被入侵的网站提供了比较大的样本,然而,在使用他人的密码信息时也存在道德方面的问题。

  近日,牛津大学的约瑟夫·邦努和雅虎公司合作,得到了迄今为止最大的样本包括7000万个密码的研究样本。虽然样本中的用户都是匿名的,但从中还是能看出这些用户的很多有用信息。

  邦努发现了一些很有意思的现象:年龄较大的用户比年轻顾客的密码安全度要高;说韩语和德语用户的密码安全度最高,说印尼语用户的密码安全度最低;与保护敏感信息如信用卡账户有关的密码只比不太重要的游戏用户密码等安全度略高一点儿;用户注册时出现的密码安全度提示实际上不起什么作用;那些账户曾被入侵过的用户在重置密码时,并不比那些没遇到过此类问题的用户谨慎多少。

  但是最使电脑安全研究者们感兴趣的还是对样本的总体评估。尽管各个用户组的情况不尽相同,但这7000万用户的密码仍然具有很高的可预测性,无论是对于样本整体来说,还是对于单个用户组来说,都可以编制出用于破解密码的词典。邦努坦言:“黑客猜10次就可以破解的密码,大约占到总样本的1%。”从黑客的角度来看,他们的尝试回报率很高。

  一个明显有效的防范措施是,在密码输入一定次数仍不正确后,就禁止用户登录网站,就像ATM机实行的办法一样。虽然一些大型网站如谷歌和微软等,采取了这样的措施,但很多网站并没有这样做。邦努和他的同事在2010年调查了150个大型网站,其中有126个没有限制密码的输入次数。

  为什么会是现在这个状况?原因不明。对于有些网站来说,因为不包含什么特别有价值的东西如信用卡信息需要保护,密码安全可能不是一个十分重要的问题。但是,对密码安全的放任态度会连累那些安全性能好的网站,因为人们通常在若干不同的网站使用同样的密码。

  有一种观点认为,对密码安全的不重视是互联网幼年时期留下的问题,因为那时的学术研究网络不需要担心黑客入侵。还有人认为,很多网站创立之初资金短缺,在电脑安全上采取额外措施会花费大量的程序编制时间和金钱。所以它们从一开始就省略了这个步骤,以后也没有费神去补救。

  不管是什么原因,这种情况使一些人不愿再等待网站采取措施,而是思考替代传统密码的一些办法。

  什么才是“完美密码”

  其中一种替代方法是使用多词口令,即“密词组(Passphrase)”,而非“密词(Password)”。在密码中使用几个词而不只是一个词,使黑客必须猜测更多的字母,这就提高了密码的安全度。但前提是,选取的联词不会被熟练使用某种联词字典的人所破解,而这种可能性总是存在的。

  邦努和他的同事埃克特丽娜·舒托瓦曾分析了购物网站亚马逊所使用的多词口令系统,亚马逊在2009年10月到2012年2月允许它的美国用户使用这个系统。他们发现,虽然多词口令确实比传统密码的安全度更高些,但并不像预期的那样理想。由四五个随机选取的词组成的口令(如天帆、平仄、廉价、泥人)倒是很安全,可要记住它们比记住几个随机选取的单词密码还难。这又一次说明,人们对容易记忆的需要总是使黑客有机可乘。通过搜寻互联网上的词语,如电影名字、体育用语和俗语等,邦努和舒托瓦编篡了一个包括20656个词的词典,借助这个词典,亚马逊数据库中1.13%的用户口令可以被破解。

  研究者们还推测,即便那些不使用著名词组的人,仍然会倾向于使用在日常语言中常见的搭配模式。他们从“英国全国语料库”(牛津大学出版社编篡的包括一亿单词的语库)和谷歌的“N元组”语料库(NGram Corpus,从谷歌网站浏览者的用语中收集的)随机抽取词组,并将它们与亚马逊用户的多词口令样本进行了对比。果不其然,大众英语中常见的单词搭配方式与亚马逊用户选取的多词密码有很多重合之处。在研究者测试的“形容词-名词”组合中,约13%是重合的;“副词-动词”组合的重合率也有5%。

  解决这个问题的办法之一是,综合传统密码和多词口令的各自优点,创造一种“易记密码”。它看起来像是一串毫无意义的字母或符号,但实际上并不难记忆。如,抽取一个句子中每个字的首位字母,区分大小写,并用一些符号替换字母(如用8替换B,用0替代O),我们可以得到这样一个易记密码:aMc0Ttit8(a mnemonic contraction of the text in these brackets,括号中句子的一个易记缩写)。

  不过,这种易记密码也并不是无懈可击的,2006年发表的一项研究表明,借助一本根据歌词、电影名字等编篡的字典,一个易记密码样本中4%的密码能被破解。

  密码安全这个问题可能永远没有完美的解决方案。任何安全措施都是烦人的,人们希望安全,但又希望什么事都简单易行,这两者总是冲突。只要这个冲突存在,黑客就有机可乘。

  英国《经济学家》杂志

时间: 2024-10-25 19:35:42

看看你的密码有多容易破解的相关文章

Intel 告诉你的密码多久会被破解,亲,是时候换密码了吗?

class="post_content" itemprop="articleBody"> 在互联网上行走肯定脱离不了密码,神马邮箱,QQ,网银,支付宝,论坛等等的密码.通常弱口令密码(例如:123456789)很容易被破解,想想你的安全.你的财物.你的隐私-- 相关阅读:用户密码薄如纸 – 并不是因为又臭又长就安全,而是因为没人惦记你 Intel 推出了一个在线测试你密码多久会被破解的页面(How Strong is Your Password?),输入你的密

2000/xp系统密码丢失后的破解方法

一.删除SAM文件,清除Administrator账号密码 Windows 2000所在的Winnt\System32\Config目录下有个SAM文件(即账号密码数据库文件),它保存了Windows 2000中所有的用户名和密码.当你登录的时候,系统就会把你键入的用户名和密码,与SAM文件中的加密数据进行校对,如果两者完全符合,则会顺利进入系统,否则将无法登录,因此我们可以使用删除SAM文件的方法来恢复管理员密码. 删除SAM文件后重新启动,此时管理员Administrator账号已经没有密码

win7开机密码忘了如何破解?破解win7开机密码教程

Win7忘了开机密码 第一种方法 首先教大家一个非常简单的破解win7开机密码的办法,就是在开机到欢迎界面的时候会出现输入用户名和密码,我们按键盘上的CTRL+ALT+DEL进入输入框,输入administrator 然后回车确认,如果这时候无法进入,administrator也有密码的话, 那么我们重启电脑然后在开机的时候按F8,一直按,然后选择带命令行的安全模式,然后选择administrator跳出了输入命令的窗口. 然后在下面的窗口输入以下命令 net user temp /add 增加

适得其反?美调查称定期换密码更容易被破解

据<日本经济新闻>3月11日报道,美国联邦贸易委员会(FTC)和美国大学等机构实施的调查发现,企业要求员工必须频繁更换个人电脑密码后,安全性反而会降低.因为员工容易使用可推测的密码,美国联邦贸易委员会的技术负责人Laurey Kroner表示,"强制变更密码的必要性需要重新考虑". 美国卡内基梅隆大学等机构的调查数据显示,认为频繁变更密码很麻烦的用户比没有这种想法的人,更容易被人推测出所用密码.Kroner表示,"很多人在密码中会使用变更密码时的年份和月份数字&q

RHEL7 ROOT密码忘记了怎么破解

1.重启操作系统的时候,在启动页面,输入e进行编辑 选择第一项,然后在内核部分,按最后的end键到最后 加入: #rd.break console=tty0 2.启动操作系统 按Ctrl+x保存启动 3.进入系统以后,重新挂载/sysroot/ #mount -o remount,rw /sysroot/ #chroot /sysroot/ 4.重置密码 #passwd 重复输入两次密码 5. 重新创建标签 #touch /.autorelabel 6.退出bash模式 #exit 7.重启操作

无线路由器密码如何破解

  无线路由器密码破解,听起来是件很酷的事情.现今互联网时代,我们互联网越来越依赖.无线路由器密码破解一方面可以让我们免费上网,另外反过来,我们懂得原理就可以设置密码保护相关安全设置,防止他人蹭网,为所欲为. 笔记本取代台式机已经是不争的事实.笔记本最重要的功能之一就是可以支持Wi-Fi无线上网,无论高端的迅驰2还是低端的上网本都100%的内置了无线网卡.同时,无线路由器也不再高贵,便宜的只需要100多块钱,可以说无线上网的门槛已经大大降低. 笔记本取代台式机已经是不争的事实.笔记本最重要的功能

发布一个SQL密码破解的存储过程

存储过程|破解 if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[p_GetPassword]') and OBJECTPROPERTY(id, N'IsProcedure') = 1)drop procedure [dbo].[p_GetPassword]GO /*--穷举法破解 SQL Server 用户密码 可以破解中文,特殊字符,字符+尾随空格的密码为了方便显示特殊字符的密码,在显示结果中,显示了组

实达交换机密码破解之道

一,网络环境: 公司使用实达的3500系列(具体型号是3548)交换机,在交换机上面连接了一台华为2621路由器,通过电信的光纤上网.由于忘记密码,因此要试图破解它的密码. 二,准备工作: 由于整个工作需要断网,毕竟涉及到重新启动交换机等操作,所以选择时间在工作下班后的晚上23点.另外由于破解密码这类操作都必须使用CONSOLE控制台线来设置,所以地点只能是中心机房.笔者找到了实达3548设备的所有相关工具,包括安装说明与CONSOLE控制线等. 三,实战破解密码: 根据笔者以往经验实达所有设备

华为E1000E防火墙密码破解详解

华为Eudemon 1000E防火墙忘记了console登录密码,同时也无法telnet登录,只能寻求破解console密码的方式,破解方式还比较简单,步骤如下: 1.重启防火墙,通过console观察重启的信息,出现如下信息时,输入Ctrl+B Enabling L1I Cache... Enabling L1D Cache... Enabling L2 Caches without ecc .. Enabling L2 allocate... Invalidate_l2_cache.. St